Home Assistant 开启HTTPS访问

1149322001

前言

为了使用小爱同学控制我的移动空调前段时间安装了一个Home Assistant ,只是简单用用的话这样到此为止也可以,不过为了随处访问我给它绑定域名做了DDNS,比较可惜的是这么一搞问题就出现了,我的其它二级域名都加了SSL证书,可以进行https访问,这个没有加SSL证书的Home Assistant因为缓存的问题就只能在浏览器的无痕模式中打开。在捣鼓的过程中参考了下边两篇文章,但都不太符合我的情况,我最终选择了使用Nginx反向代理来实现,因为前段时间搭建PhotoPrism的时候我也是这么做的,可谓驾轻就熟。

Home Assistant配置https访问 - 哔哩哔哩 (bilibili.com)

为Home Assistant 开启HTTPS访问 - 天雨的博客 - Masterain (irain.in)

在看下边的内容之前需要明确一些需要注意的点:

  • Home Assistant是Docker搭建的
  • 服务器环境内有Nginx,最好有个宝塔
  • 提前申请了SSL证书并上传到服务器中
  • Home Assistant搭建完成可以使用DDNS正常访问

上传 SSL 证书

下边两个就是上传好的SSL证书,我这边使用的是宝塔免费申请的Let's Encrypt通配符证书,文件中内容是我自己新建文本文件从其它地方复制过来的,需要注意后缀名为crt和key,之后记好两个文件的绝对路径就可以。

图片[1] - Home Assistant 开启HTTPS访问 - 登山亦有道
图片[2] - Home Assistant 开启HTTPS访问 - 登山亦有道

配置NGINX反向代理

如果只是PhotoPrism下边的配置加到NGINX的配置文件中并重启就可以了,可惜今天搞的是Home Assistant,这个过程已经经过验证,并不怎么顺畅,简单来说会有两个坑。尤其是第二个,很少有人提到。

    server {
        listen 80;
        server_name 你的域名;
        return 301 https://$host$request_uri;
    }

    server {
        listen 443 ssl;
        server_name 你的域名;
        client_max_body_size 500M;

        ssl_certificate /root/data/photo/photoprism.crt; #SSL证书路径
        ssl_certificate_key /root/data/photo/photoprism.key; #SSL证书路径

        location / {
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_pass http://127.0.0.1:8123;# 确保指向 Home Assistant
            proxy_redirect off;
            client_max_body_size 500M;
        }
    }
图片[3] - Home Assistant 开启HTTPS访问 - 登山亦有道

配置HA反向代理白名单

第一个比较坑的点是HA的反向代理有白名单设置,需要将NGINX反向代理服务的网段添加到白名单配置中,不然会出现 400 bad request 的错误,页面无法访问。 全部配置完毕之后需要重启HA使其生效。配置文件的路径在你容器的根目录,名为:configuration.yaml

图片[4] - Home Assistant 开启HTTPS访问 - 登山亦有道

# Configure a default setup of Home Assistant (frontend, api, etc)
default_config:

# Text to speech
tts:
  - platform: google_translate

group: !include groups.yaml
automation: !include automations.yaml
script: !include scripts.yaml
scene: !include scenes.yaml

#从此处开始添加,上边的是默认存在的
http:
  use_x_forwarded_for: True
  trusted_proxies:
    - 127.0.0.1
    - 172.17.0.1  
    - 192.168.2.1 #根据容器日志中被屏蔽的 IP 添加
图片[5] - Home Assistant 开启HTTPS访问 - 登山亦有道
图片[6] - Home Assistant 开启HTTPS访问 - 登山亦有道

到了这一步反向代理的配置就初步成功了,可以通过https访问Home Assistant的登录界面,不过别急着高兴,还有一个坑在等着呢。输入用户名和密码之后点击登录你会发现页面上提示Unable to connect to Home Assistant.Retrying in 59 seconds...

最终的NGINX配置文件

使用http登录会发现有这样Login attempt or request with invalid authentication from 49.64.212.241 (49.64.212.241). See the log for details.或这样的提示:Login attempt or request with invalid authentication from 192.168.2.1 (192.168.2.1). See the log for details.~~~这个错误信息表明从 IP 地址 49.64.212.241/192.168.2.1 发起的登录尝试或请求存在无效的认证。为了安全起见,我们需要确保没有未经授权的访问,并且正确配置了 Home Assistant 的反向代理和认证设置。和Chatgpt缠斗了几个小时始终都是那么几句话,让我确认Home Assistant 配置和Nginx 配置,而这些我已经确认了很多次,可以完全保证没有问题,关于这些我也和Chatgpt说过,最后很明确的告诉它证书没问题,完全复制上边提供的配置问题依旧,这次情况发生了一些扭转,它提供了一份稍微有些不一样的NGINX配置文件:

server {
    listen 80;
    server_name 你的域名;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name 你的域名;

    ssl_certificate /root/data/photo/photoprism.crt;#SSL证书路径
    ssl_certificate_key /root/data/photo/photoprism.key;#SSL证书路径

    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        proxy_pass http://127.0.0.1:8123;  # 确保指向 Home Assistant
        proxy_redirect off;

        # 添加以下行以增强调试
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header Connection '';
    }

    # 可选:为 WebSocket 连接配置
    location /api/websocket {
        proxy_pass http://127.0.0.1:8123/api/websocket;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

复制粘贴重启然后它就好了,经过实验起关键作用的正是它在配置文件中注释了#可选:为 WebSocket 连接配置下边的那段代码,我注释解注释尝试了几次才最终确定。神奇的是这段配置的生效无需重启NGINX服务。

图片[7] - Home Assistant 开启HTTPS访问 - 登山亦有道

最后的最后我又问了它一个问题:为什么我之前提问了那么多次都没加这个配置?
Chatgpt:可能是因为在讨论中没有专门提到 WebSocket 配置的重要性,或者在问题分析时没有明确指出需要处理的具体内容。WebSocket 在 Home Assistant 中用于处理实时事件和状态更新,漏掉这个配置确实会导致连接问题。

© 版权声明

作者:晨岩

本站所有文章除特别声明外,均采用 BY-NC-SA 4.0 许可协议。转载请注明出处!

THE END
技术杂谈杂七杂八
# 宝塔# ssl# Home Assistant# Nginx
喜欢就支持一下吧
点赞2001赞赏 分享
评论 晨岩, 粽叶加米, 秋风于渭水, 天一生水, 网友小宋, 叶小明的博客, wmbk等人在此发表了11条热情洋溢的评论
匿名的头像 - 登山亦有道
提交
匿名的头像 - 登山亦有道

昵称

在 WordPress 上使用 Sticker Heo 增添互动时的乐趣吧 !

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
  • 网址
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][se][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片
    • 粽叶加米的头像 - 登山亦有道
      粽叶加米 Windows Chrome 127.0.0.0
      Home Assistant关注过一段时间,家里的几台智能设备不同品牌得安装不同App,这东西可以统一起来。
      来自东莞3个月前回复
      • 晨岩的头像 - 登山亦有道
        晨岩 Windows Edge 127.0.0.0
        统一起来再用语音控制体验还是可以的
        来自苏州3个月前@粽叶加米回复
    • 网友小宋的头像 - 登山亦有道
      网友小宋 Windows Edge 127.0.0.0
      直接ddns会不会不太安全。
      来自漯河3个月前回复
    • 叶小明的博客的头像 - 登山亦有道
      叶小明的博客 Windows Chrome 122.0.6261.95
      Home Assistant 好用吗,有点想弄,目前除米家设备外就美的设备最多了,但弄的兴趣大于实际用处,哈哈表情[xiaoku] - 登山亦有道
      来自长沙3个月前回复
      • 天一生水的头像 - 登山亦有道
        天一生水 Windows Chrome 109.0.0.0
        确实如此!实际用的话,配上相关的智能开关,红外遥控比折腾HA,用户体验要好。
        来自广州3个月前@叶小明的博客回复
        • 晨岩的头像 - 登山亦有道
          晨岩 Windows Edge 127.0.0.0
          家里如果放几个小爱音箱就舒服了,我是有点懒,能动口解决就不想动手
          来自苏州3个月前@天一生水回复
      • 晨岩的头像 - 登山亦有道
        晨岩 Windows Edge 127.0.0.0
        还行,都有现成的扩展可以装,集成度也还好,基本能满足需求,我的移动空调就是美的,现在可以语音控制了
        来自苏州3个月前@叶小明的博客回复
    • wmbk的头像 - 登山亦有道
      wmbk Windows Chrome 126.0.0.0
      用cf tunnel穿透会更安全吧
      来自英国3个月前回复
      • 秋风于渭水的头像 - 登山亦有道
        秋风于渭水 Windows Chrome 126.0.0.0
        cf tunnel有时候会报http 1033,源服务器连不上CF的IP的,CF的这个隧道在国内网络稳定性还是需要操心的。
        来自欧洲地区3个月前@wmbk回复
      • 晨岩的头像 - 登山亦有道
        晨岩 Windows Edge 127.0.0.0
        目前对安全其实没有太多的考虑,只是想挂上ssl而已
        来自苏州3个月前@wmbk回复

1一辈子不要瞎忙,首先做对这4件事

2苏城一隅的变化

3C# 语言入门详解(刘铁猛)

4字节系APP不受限速约束

5苏博西馆之苏州历史陈列

6Hyper-V使用过程中遇到的问题和解决办法

7WordPress后台加速插件:WP-China-Yes

8Redis缓存导致网站设置不生效

9子比主题接入TianliGPT智能摘要

10升级蓝牙线、转卖树莓派

112023 二月见闻录

12子比V6.1适配Cravatar头像

13住处附近的横山体育公园

14剧情被剪得“稀碎”的《突围》

15Win10系统激活提示“无法连接到你组织的激活服务器”怎么办?